Creare profili VPN per connettersi ai server VPN in Intune

Importante

Il 22 ottobre 2022 Microsoft Intune terminato il supporto per i dispositivi che eseguono Windows 8.1. L'assistenza tecnica e gli aggiornamenti automatici su questi dispositivi non sono disponibili.

Se attualmente si usa Windows 8.1, è consigliabile passare a dispositivi Windows 10/11. Microsoft Intune dispone di funzionalità predefinite per la sicurezza e i dispositivi che gestiscono i dispositivi client Windows 10/11.

Importante

Microsoft Intune termina il supporto per la gestione degli amministratori di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 30 agosto 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Supporto finale per l'amministratore di dispositivi Android nei dispositivi GMS.

Le reti private virtuali offrono agli utenti l'accesso remoto sicuro alla rete aziendale. I dispositivi usano un profilo di connessione VPN per avviare una connessione con il server VPN. I profili VPN in Microsoft Intune assegnare le impostazioni VPN a utenti e dispositivi dell'organizzazione. Usare queste impostazioni in modo che gli utenti possano connettersi facilmente e in modo sicuro alla rete aziendale.

Questa funzionalità si applica a:

  • Amministratore del dispositivo Android

  • Dispositivi Android Enterprise di proprietà personale con profilo di lavoro

  • iOS/iPadOS

  • macOS

  • Windows 10

  • Windows 11

    Importante

    Per Windows 11 dispositivi, esiste un problema tra il client Windows 11 e il CSP VPNv2 di Windows. Un dispositivo con uno o più profili VPN di Intune perde la connettività VPN quando il dispositivo elabora più modifiche ai profili VPN per il dispositivo contemporaneamente. Quando il dispositivo esegue il check-in con Intune una seconda volta, elabora le modifiche del profilo VPN e la connettività viene ripristinata.

    Le modifiche seguenti possono causare una perdita di funzionalità VPN:

    • Modifiche a un profilo VPN elaborato in precedenza dal dispositivo Windows 11. Questa azione elimina il profilo originale e applica il profilo aggiornato.
    • Due nuovi profili VPN si applicano al dispositivo contemporaneamente.
    • Un profilo VPN attivo viene rimosso nello stesso momento in cui viene assegnato un nuovo profilo VPN.

    Questo problema non si applica quando:

    • Un dispositivo Windows 11 non ha un profilo VPN esistente assegnato e riceve un profilo VPN di Intune.
    • Windows 11 dispositivi a cui è assegnato un profilo VPN e a cui viene assegnato un altro profilo VPN senza altre modifiche del profilo.
    • Un dispositivo Windows 10 viene aggiornato a Windows 11 e se non sono presenti modifiche ai profili VPN del dispositivo. Dopo l'aggiornamento a Windows 11, eventuali modifiche ai profili VPN dei dispositivi o l'aggiunta di nuovi profili VPN attiveranno il problema.

    Questo problema e questo avviso rimangono fino a quando Windows non aggiorna il client Windows 11 che risolve il problema.

  • Windows 8.1 e versioni successive

Ad esempio, si vuole configurare tutti i dispositivi iOS/iPadOS con le impostazioni necessarie per connettersi a una condivisione file nella rete dell'organizzazione. Si crea un profilo VPN che include queste impostazioni. Questo profilo viene assegnato a tutti gli utenti che dispongono di dispositivi iOS/iPadOS. Gli utenti visualizzano la connessione VPN nell'elenco delle reti disponibili e possono connettersi con il minimo sforzo.

Questo articolo elenca le app VPN che è possibile usare, illustra come creare un profilo VPN e include indicazioni sulla protezione dei profili VPN. È necessario distribuire l'app VPN prima di creare il profilo VPN. Per informazioni sulla distribuzione di app con Microsoft Intune, vedere Che cos'è la gestione delle app in Microsoft Intune?.

Prima di iniziare

  • I profili VPN per un tunnel del dispositivo sono supportati per i desktop remoti a più sessioni di Windows 10/11 Enterprise.

  • Se si usa l'autenticazione basata su certificato per il profilo VPN, distribuire il profilo VPN, il profilo certificato e il profilo radice attendibile negli stessi gruppi. Questo passaggio assicura che ogni dispositivo possa riconoscere la legittimità dell'autorità di certificazione. Per ulteriori informazioni, vedere Come configurare certificati con Microsoft Intune.

  • La registrazione utente per iOS/iPadOS e macOS supporta solo vpn per app.

  • È possibile usare criteri di configurazione personalizzati di Intune per creare profili VPN per le piattaforme seguenti:

    • Android 4 e versioni successive
    • Dispositivi registrati che eseguono Windows 8.1 e versioni successive
    • Dispositivi registrati che eseguono Windows 10/11
    • Windows Holographic for Business

Passaggio 1: Distribuire l'app VPN

Prima di poter usare i profili VPN assegnati a un dispositivo, è necessario installare l'app VPN. Questa app VPN si connette al server VPN.

Sono disponibili diverse app VPN. Nei dispositivi utente si distribuisce l'app VPN usata dall'organizzazione. Dopo aver distribuito l'app VPN, creare e distribuire un profilo di configurazione del dispositivo VPN che configura le impostazioni del server VPN, inclusi il nome del server VPN (o FQDN) e il metodo di autenticazione.

Alcune piattaforme e app VPN richiedono criteri di configurazione dell'app per preconfigurare l'app VPN, anziché un profilo di configurazione del dispositivo VPN. Questa sezione elenca anche le piattaforme e le app VPN che devono usare un criterio di configurazione dell'app.

Per facilitare l'assegnazione dell'app con Intune, vedere Aggiungere app a Microsoft Intune.

Tipi di connessione VPN

È possibile creare profili VPN usando i tipi di connessione VPN seguenti:

  • Automatico

    • Windows 10/11
  • VPN capsule Check Point

    • Amministratore del dispositivo Android
    • Dispositivi Android Enterprise di proprietà personale con profilo di lavoro
    • Profilo di lavoro completamente gestito e di proprietà dell'azienda Android Enterprise: usare i criteri di configurazione delle app
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Cisco AnyConnect

    • Amministratore del dispositivo Android
    • Dispositivi Android Enterprise di proprietà personale con profilo di lavoro
    • Profilo di lavoro android enterprise completamente gestito e di proprietà dell'azienda
    • iOS/iPadOS
    • macOS
    • Windows 10/11
  • Cisco (IPSec)

    • iOS/iPadOS
  • Citrix SSO

  • VPN personalizzata

    • iOS/iPadOS
    • macOS

    Creare profili VPN personalizzati usando le impostazioni URI in Creare un profilo con impostazioni personalizzate.

  • F5 Access

    • Amministratore del dispositivo Android
    • Dispositivi Android Enterprise di proprietà personale con profilo di lavoro
    • Profilo di lavoro android enterprise completamente gestito e di proprietà dell'azienda
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • IKEv2

    • iOS/iPadOS
    • Windows 10/11
  • L2TP

    • Windows 10/11
  • Microsoft Tunnel

    • Dispositivi Android Enterprise di proprietà personale con profilo di lavoro
    • Profilo di lavoro android enterprise completamente gestito e di proprietà dell'azienda
    • iOS/iPadOS
  • NetMotion Mobility

    • Dispositivi Android Enterprise di proprietà personale con profilo di lavoro
    • Profilo di lavoro android enterprise completamente gestito e di proprietà dell'azienda
    • iOS/iPadOS
    • macOS
  • Palo Alto Networks GlobalProtect

  • PPTP

    • Windows 10/11
  • Pulse Secure

    • Amministratore del dispositivo Android
    • Dispositivi Android Enterprise di proprietà personale con profilo di lavoro
    • Profilo di lavoro android enterprise completamente gestito e di proprietà dell'azienda
    • iOS/iPadOS
    • Windows 10/11
    • Windows 8.1
  • SonicWall Mobile Connect

    • Amministratore del dispositivo Android
    • Dispositivi Android Enterprise di proprietà personale con profilo di lavoro
    • Profilo di lavoro android enterprise completamente gestito e di proprietà dell'azienda
    • iOS/iPadOS
    • macOS
    • Windows 10/11
    • Windows 8.1
  • Zscaler

Passaggio 2: Creare il profilo

Dopo l'assegnazione dell'app VPN al dispositivo, questo passaggio successivo crea i criteri di configurazione del dispositivo che configurano la connessione VPN. Se il tipo di connessione dell'app VPN usa un criterio di configurazione dell'app per configurare l'app, ignorare questo passaggio.

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Device Configuration Create (Crea configurazione>dispositivi>).

  3. Immettere le proprietà seguenti:

    • Piattaforma: scegliere la piattaforma per il proprio dispositivo. Le opzioni disponibili sono:
      • Amministratore del dispositivo Android
      • Android Enterprise>Profilo di lavoro gestito, dedicato e di proprietà aziendale
      • Android Enterprise>Profilo di lavoro di proprietà personale
      • iOS/iPadOS
      • macOS
      • Windows 10 e versioni successive
      • Windows 8.1 e versioni successive
    • Tipo di profilo: selezionare VPN. In alternativa, selezionare Modelli>VPN.
  4. Selezionare Crea.

  5. In Informazioni di base immettere le proprietà seguenti:

    • Nome: immettere un nome descrittivo per il profilo. Assegnare ai profili nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di profilo valido è profilo VPN per l'intera azienda.
    • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.
  6. Seleziona Avanti.

  7. In Impostazioni di configurazione le impostazioni configurabili variano in base alla piattaforma scelta. Selezionare la piattaforma per le impostazioni dettagliate:

  8. Seleziona Avanti.

  9. In Tag ambito (facoltativo) assegnare un tag per filtrare il profilo a gruppi IT specifici, ad esempio US-NC IT Team o JohnGlenn_ITDepartment. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo (RBAC) e i tag di ambito per l'infrastruttura IT distribuita.

    Seleziona Avanti.

  10. In Assegnazioni selezionare l'utente o i gruppi che ricevono il profilo. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

    Seleziona Avanti.

  11. In Rivedi e crea rivedere le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell'elenco dei profili.

Proteggere i profili VPN

I profili VPN possono usare diversi tipi di connessione e protocolli di produttori diversi. Queste connessioni sono in genere protette tramite i metodi seguenti.

Certificati

Quando si crea il profilo VPN, si sceglie un profilo certificato SCEP o PKCS creato in precedenza in Intune. Questo certificato è noto come certificato di identità. Viene usato per eseguire l'autenticazione in base a un profilo certificato attendibile (o certificato radice) creato per consentire la connessione del dispositivo dell'utente. Il certificato attendibile viene assegnato al computer che autentica la connessione alla posta elettronica.

Se si usa l'autenticazione basata su certificati per il profilo di posta elettronica, è necessario distribuire il profilo di posta elettronica, il profilo certificato e il profilo radice attendibile agli stessi gruppi. Questa distribuzione assicura che ogni dispositivo possa riconoscere la legittimità dell'autorità di certificazione.

Per altre informazioni su come creare e usare i profili di certificato in Intune, vedere Come configurare certificati con Intune.

Nota

I certificati aggiunti usando il profilo certificato importato PKCS non sono supportati per l'autenticazione VPN. I certificati aggiunti usando il profilo dei certificati PKCS sono supportati per l'autenticazione VPN.

Nome utente e password

L'utente esegue l'autenticazione al server VPN specificando un nome utente e una password o credenziali derivate.

Passaggi successivi